World Law and Economics - GLOBAL KNOWLEDGE - PONTANI E ASSOCIATI - MILANO - IACO.group

Pagina creata da Fabio Fiore
 
CONTINUA A LEGGERE
World Law and Economics - GLOBAL KNOWLEDGE - PONTANI E ASSOCIATI - MILANO - IACO.group
World Law and Economics
             GLOBAL KNOWLEDGE

                                                                                                  
                                     Gerard van Schagen, World Map, 1689

Anno IV- Gennaio – Agosto 2018 n. 1-2 – Settembre-Novembre 2018 - Periodico quadrimestrale on line open access

                            PONTANI E ASSOCIATI - MILANO
World Law and Economics - GLOBAL KNOWLEDGE - PONTANI E ASSOCIATI - MILANO - IACO.group
World Law and Economics Global Knowledge   1 - 2 (2018) -

                                              EDITORIALE

In questo numero della nostra rivista proponiamo alla lettura due contributi che riteniamo di
interesse.
Il primo inerisce un tema di particolare attualità, quello della privacy, anche perché essendo
un tema risalente a tempi passati, solo ora ci si rende conto o appare ci si renda conto della
portata del problema in un sistema sociale, finanziario ed economico, nel quale il mutamento
dei rapporti tra soggetti a ragione delle nuove tecnologie, rende indispensabile un profondo
mutamento culturale.
Il secondo, anticipato nell’editoriale del precedente numero di questa rivista, inerisce il rap-
porto tra intelligenza artificiale, robotica e responsabilità civile e la qualificazione della per-
sona elettronica. Anche per questo tema si è in presenza di una diffusa ignoranza sociale e
politica e vi è il rischio di pensare ad una disciplina giuridica della materia inadeguata ed in
ritardo rispetto alle necessità di definire regole di tutela per la società civile.
In relazione alla questione della privacy assistiamo alla prima irrogazione di sanzioni per vio-
lazione delle norme dettate dal GDPR (General Data Protection Regulation, UE, n.
2016/679) in applicazione, in Italia, dal 25 maggio 2018. Citiamo, ad esempio, i casi di una
sanzione di 4.800 euro ad un’azienda austriaca che usava male il sistema di videosorveglianza
(Fritz Gernot, https://digital.freshfields.com/post/102f39w/first-gdpr-fine-issued-by-austrian-
data-protection-regulator 5 oct. 2018), di 20 mila euro ad un’azienda tedesca per la mancata
cifratura delle password degli utenti, (ibidem), di 400 mila euro ad una struttura ospedaliera
portoghese per problemi di accesso ai dati (https://blog.cuatrecasas.com/propiedad-
intelectual/hospital-do-barreiro-fined-by-comissao-nacional-proteccao-dados-in-400000-euro-
for-allowing-improper-access-to-clinical-files/?lang=en) e a un procedimento di accertamen-
to in corso nei confronti di una catena alberghiera (internazionale) di grandi dimensioni in re-
lazione ad un caso di data breach, relativo al periodo 2014 - sett.2018, inerente i dati di oltre
500 milioni di persone, con la compromissione di 327 milioni di clienti anche in relazione
all’utilizzo della carte di credito (https://answers.kroll.com/, con costante aggiornamento del-
le informazioni dal novembre 2018). A questi esempi non si può fare a meno di aggiungere,
oltre alle sanzioni rilevantissime a seguito di investigazioni sui colossi del web come Google e
Facebook, sia il caso (per il sistema valutativo dei comportamenti) della sanzione di £
500.000 comminata (dopo rituale istruttoria e contraddittorio), il 24 ottobre 2018
(https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-
with-maximum-500-000-fine/) all’Infor mation Commissione’s Office del Regno Unito, a Fa-
cebook, per la violazione (at least 50 million accounts) della disciplina sulla privacy (secondo
i disposti del Data Protection Act , Section 55A) e, pertanto, con riferimento alla previgente
disciplina normativa rispetto a quella del GDPR, sia il fatto che altre istruttorie sono in corso.
In riferimento, invece, al tema dell’intelligenza artificiale utilizzata nei più disparati ambiti
(ad iniziare dai sistemi di interfaccia vocale degli smartphone e dei personal computer), non
World Law and Economics Global Knowledge   1 - 2 (2017) -

vi è ancora consapevolezza reale, da parte degli utilizzatori – consumatori, della sua esistenza
in moltissimi apparati tecnologici (anche indossabili), delle sue reali funzioni e del flusso di
dati che da detti “oggetti” di uso assai diffuso viene indirizzato al mondo circostante con la
possibilità, concreta, di intercettazione, acquisizione ed utilizzo di informazioni personali e
non, ma utili anche economicamente utili.
L’intelligenza delle reti è poi distribuita ed il rischio moltiplicato a livello esponenziale in
presenza di miliardi di computer che sono, nel sistema globale, fra di loro in costante interre-
lazione e comunicazione sistemica.
Solo per sottolineare la rilevanza dell’autonomia decisionale di una parte dei sistemi di intel-
ligenza artificiale, basti fare mente ai quasi androidi del tipo Sophia, della Hanson Robotics
Limited, di Hong Kong, (attivata il 19 aprile 2015 e presentata al pubblico in occasione del
South by Southwest Festival, SXSW, tenutosi a metà marzo del 2016 ad Austin, Texas,
USA). Detto quasi androide ha ottenuto (si tratta del primo caso al mondo) la cittadinanza
saudita, durante i lavori del Future Investment Initiative summit (October 24, 2017, Ryad).
Gli androidi possono divenire (in realtà sono già) espressione di una nuova realtà che vede gli
intelligenti artificiali operare, forse competere con gli intelligenti naturali o, forse, ibridazioni
degli stessi umani con componenti di intelligenza artificiale.

                                                                      Il Direttore responsabile
                                                                           Franco Pontani
World Law and Economics Global Knowledge   1-2 (2018) -

                                    SOMMARIO

Dottrina

F. Pontani, Privacy e Protezione dei Dati.
              La nuova disciplina in un Sistema “Globale”                      pagg.     1- 12
F. Pontani, Robotica intelligenza artificiale e responsabilità civile
               La resposabilità civile della persona elettronica               pagg.     13-19

In questo numero della rivista non vengono riportati testo od estremi di norme di legge, di
pronunciamenti giurisprudenziali o di enti pubblici con poteri regolamentari. Tutti i riferimenti
alle fontidella predetta natura sono riportate negli scritti di dottrina pubblicati.

                                                                    Il Direttore responsabile
World Law and Economics Global Knowledge                       1-2 (2018) 1-12

                                  Privacy e Protezione dei Dati
                           La nuova disciplina in un Sistema “Globale”

                                                                     Franco Pontani

              Il Regolamento (UE) N. 679 del 27 aprile 2016 del Parlamento europeo e del Consiglio
          Intervento di apertura al Convegno del 13 luglio 2018. Camera dei Deputati - Sala Aldo Moro

Abstract
Privacy, protezione dati, società e impresa. Lineamenti di una riforma della tutela della privacy e della sicurezza dei dati. La
persona al centro del sistema socioeconomico d’impresa. Organizzazione, tutela, responsabilizzazione e controllo, monitorag-
gio dei comportamenti nel sistema di gestione dei dati. La questione della cultura socio-ambientale

                                                                                    MARANI S., “Principio di ne bis in idem: la Corte di Giustizia ne delinea i
                                                                                    limiti”, Corte giustizia Unione Europea, Grande Sezione, sentenza 20/03/2018
BIBLIOGRAFIA E SITOGRAFIA                                                           n° C‑537/16, in http://www.altalex.com/documents/news/2018/03/21/ne-bis-
                                                                                    in-idem-corte-di-giustizia; MASSARI M., “Sopravvento del digitale e tramonto
BUSCEMA M., “Squashing Theory. Modello a Reti Neurali per la Previsione             dell’essere umano. Un approfondimento in merito al sopravvento del digitale,
dei Sistemi Complessi”, 1994, Armando, Roma; CANTONI L., DI BLAS N., Teo-           passando per il tramonto dell’umano e la rinascita dell’uomo primitivo 4.0”,
ria e pratiche della comunicazione, Maggioli/Apogeo Education,                      31 marzo 2018, in http://www.responsabilecivile.it/sopravvento-del-digitale-
http://www.apogeoeducation. com, Ott. 2002; DEL GOBBO G., “Processo                 tramonto-dellessere-umano/; MAZZA O., “I diritti fondamentali dell’individuo
formativo tra potenziale di conoscenza e reti di saperi. Un contributo di rifles-   come limite della prova nella fase di ricerca e in sede di assunzione”, Rela-
sione sui processi di costruzione di conoscenza”, Firenze, University Press,        zione al Convegno di studi “Garanzia dei diritti fondamentali e processo pe-
2007; DE MAURO T., “Analfabeti d’Italia”, Internazionale, n. 734, 6 marzo           nale”, Diritto penale contemporaneo, Magistratura Democratica, Camera Pe-
2008, http://internazionale.it; DENEAULT A., “Governance. Il management to-         nale di Milano, 9 -10 novembre 2012 Milano, “Diritto penale contemporaneo”
talitario”, Neri Pozza, I Colibrì, 2018; DI CRISTOFARO C., “Stiamo crescendo        3/2013, in https://www.penalecontemporaneo.it/foto/49683_2013.pdf#page
una generazione di «ignoranti digitali»?”, 15 dicembre 2016, http://al-             =10& view= Fit; MINGHETTI M., “Humanistic Management 4.0”, http://
leyoop.ilsole24ore.com/2016/12/15/stiamo-crescendo-una-generazio ne-di-             www.marcominghetti.com/; MURGESE E., “Analfabeti funzionali, il dramma
ignoranti-digitali/. Indagine OCSE, Dossier MIUR, Pisa, 2012,“Studenti,             italiano: chi sono e perché il nostro Paese è tra i peggiori”, in L’Espresso,
computer e apprendimento: dati e riflessioni”; DI NUNZIO G. M., “Dati e in-         http://espresso.repubblica.it/inchieste/2017/03/07/ news/analfabeti-funzionali-
formazioni” in http://www.dei.unipd.it/~dinunzio/fdi-2014-2015/04_dati_in-          il-dramma-italiano-chi-sono-e-perche-il-nostro-paese-e-tra-i-peggiori-1.2968
formazioni.pdf; EYSENCK H. J., The structure of Human Personality, Methuen          54; PONTANI F., “Corporate governance”, Digesto delle Discipline Privatisti-
& Company, London, 1953; FERRARA SANTAMARIA M., “Il diritto alla illesa             che, Sezione Commerciale, Utet, 2009; PONTANI F., “Ethics and privacy rules
intimità privata”, Rivista di diritto privato, Cedam, 1937;GEERT C. Z, “Mondo       in a global digital world”,World law and economics. Global Knowledge, n. 1-
globale, mondi locali. Cultura e politica alla fine del ventesimo secolo”, Il       2/2017, www.pontani.it; PONTANI F. “Privacy e protezione dei dati”, Occa-
Mulino, 1999; GIAMMARCO V. E., “L’uomo digitale. Oltre il dualismo tecno-           sional papers, 10 febbraio 2018, www.pontani.it; RICCHIUTO P., “Data Pro-
logico”, Frenico self publishing hub; HAAS H., “Wireless data from every light      tection Officer: dentro, fuori, o da nessuna parte. Privacy e sicurezza”, 19
bulb", TED (Technology Entertainment Design) Global, Edimburgo, Confe-              marzo 2018, http://www.interlex.it/privacyesicurezza/ricchiuto47.html; RU-
renza, 11-15 luglio 2011; HAMEL G., “Primo, licenziamo tutti i manager”, 1          SCONI G., “Azienda senza capi, una nuova via verso il «Nirvana organizza-
dicembre 2011, HBR Italia; HODSON R., ROSCIGNO V. J., LOPEZ S. H. (Ohio             tivo»”, Ambrosetti Global Leadership Summit (http://www.ilsole24ore.com/
State University), “Chaos and the Abuse of Power Workplace Bullying in Or-          art/management/2016-07-05/azienda-senza-capi-nuova-via-il-nirvana-orga-
ganizational and Interactional Context”, Work and Occupations, Vol.33, n.           nizzativo-085 157.shtml?uuid=ADmh 4Fo; SOLOVE D. J., “A taxonomy of pri-
4, November 2006, Sage Publications, http://wox.sagepub.com hosted at               vacy”, University of Pennsylvania Law Review, Vol. 154, January 2006, no.
http://online.sagepub.com; LEWIS J. A., “Rethinking Cybersecurity. Strategy,        3; 2013; SORO A., “Vi spiego la cultura necessaria a proteggere i dati. Parola
Mass effect and States”. A Report of the CSIS (Center for Strategic & Inter-        del Garante della Privacy”, "Formiche", n. 132, gennaio 2018, in https://
national Studies) Technology Policy Program, Rowaman & Littlefield, Lan-            www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/content/id/
ham, Boulder, New York, London, Jan. 2018; LUKÁS A., “What is privacy?              422841; UNESCO, Handbook of Household Surveys, Revised Edition, Studies
The history and definition of privacy”, University of Szeged, Faculty of Law        in Methods, Series F, No. 31, United Nations, New York, 1984;VIGINI G.,
and Political Sciences, Department of Labour Law and Social Security and            Glossario di biblioteconomia e scienza dell'informazione, Editrice Bibliogra-
Sorbonne Law School Université Paris 1, PhD student, lukacs.adrienn@ju-             fica, Milano, 1985; VIOLA F., “Lo statuto giuridico della persona in prospet-
ris.u-szeged.hu; MCCLIMANS F., FERSHT P., SNOWDON J., PHELPS B.,                    tiva storica”, in “Studi in memoria di Italo Mancini", a cura di PANSINI G.,
LASALLE R., “The State of Cybersecurity and Digital Trust 2016. Identifying         Esi, Napoli 1999; VISCO I., “Investire in conoscenza. Per la crescita econo-
Cybersecurity Gaps to Rethink State of the Art,” Accenture and HfS Research,        mica”, Bologna, Il Mulino, 2009, cap. 3; VISCO I.,” “Il capitale umano per il
Ltd, June 2016; Bharti V. (advocate and Vice President & Global Head -              XXI secolo”, Il Mulino, n. 1/2011, pp. 6-20; VISCO I.,” Investire in conoscenza,
Security Services - Cyber, Cloud, IOT- and CISO at Happiest Minds Technol-          partendo dai libri”, 35° Seminario di Perfezionamento della Scuola per Librai,
ogies Bengaluru Area, India), White paper (data non indicata), “Unified Cyber       “Tradizione e innovazione in libreria, Giornata conclusiva: Dove nascono le
Security Monitoring and Management Framework”, https:// www.happi-                  storie?” Venezia, Fondazione Cini, 26 gennaio 2018.
estminds.com/whitepapers/Unified-Cyber-Security-Monitoring-and-Manage-              VOCE “Cultura” in Vocabolario Treccani, http://www.treccani.it/vocabola-
ment-Framework.pdf;                                                                 rio/cultura_%28Sinonimi-e-Contrari%29/); VOCE “Mononucleare”, Vocabo-
                                                                                    lario Treccani in http://www.treccani.it/vocabolario/mononucleare/; VOCE

© Franco Pontani
Pontani e Associati S.p.A. - Piazza Castello 5 - 20121 Milano – www.pontanieassociati.com
E-mail fpontan@tin.it
2
                               Franco Pontani - World Law and Economics Global Knowledge 1- 2 (2018) 1-12

“Persona” in http://www.treccani.it/enciclopedia/persona/, http:/ /www. trec-       L’intendimento, dichiarato, del legislatore comunita-
cani.it/enciclopedia/persona_%28Dizionario-di-filosofia%29/, , http:// www.
treccani.it/ enciclopedia/persona_%28Universo-del-Corpo %29/; VOCE
                                                                                 rio è quello di contribuire alla
“Persóna”,       http://www.treccani.it/vocabolario/persona/;WARREN S. D.,          “realizzazione di uno spazio di libertà, sicurezza e
BRANDEIS L. D., “The Right to Privacy”, Harvard Law Review, Vol. 4, No. 5           giustizia e di un'unione economica, al progresso
(Dec. 15, 1890); WELCHMAN L., “Managing Chaos: Digital Governance by                economico e sociale, al rafforzamento e alla con-
Design”, Rosenfeld Media, Brooklyn, NY, USA, 2014; WIEDMAN S., “Buil-
ding a Digital Governance Program”, ISACA Geek Week, August 8 – 10,                 vergenza delle economie nel mercato interno e al
2016, www.isaca. org/chapters3/Atlanta/AboutOurChapter/Documents/ GW                benessere delle persone fisiche”3.
2016/ 08 08%204 pm-S.Wiedman-Digital%20 Governance.pdf; YAEL ONN I.
et. al., Privacy in the Digital Environment, Haifa Center of Law & Techno-
                                                                                    I principi che debbono essere rispettati, e che sono
logy, Niva Elkin-Koren, Michael Birnhack, eds., 2005, Pub. N. 7, in collabo-     specificatamente richiamati, per la predetta tutela sono
ration with The Caesarea Edmund Benjamin Digital Environment, Rothschild         quelli dell’art. 8, par. 1, della Carta dei diritti fonda-
Foundation Institute for Interdisciplinary Applications of Computer Science,     mentali dell'Unione europea («Carta»4) e dell'art.16,
2005/2006 - Haifa Center of Law & Technology.                                    par. 1, del Trattato sul Funzionamento dell'Unione Eu-
                                                                                 ropea («TFUE»)5 che stabiliscono che ogni persona ha
                                                                                 diritto alla protezione dei dati di carattere personale che
SOMMARIO                                                                         la riguardano6.
1. Sommario: 1. Scenari. - 2. La centralità della per-                              Lo scopo del Regolamento è anche quello di “fare
sona fisica. - 3. Il sistema organizzativo e la tutela della                     ordine” nei comportamenti adottati dai singoli Paesi
persona fisica nella sua rappresentazione digitale. Il                           dell’Unione a seguito del recepimento, con modalità
connubio tra sfera privata, comunicazione e azienda -                            non uniformi, nelle legislazioni nazionali, della Diret-
4. Governance d’azienda, digital governance e co-                                tiva 95/46/CE del Parlamento europeo e del Consiglio,
stante monitoraggio. - 5. La qualificazione di “dato                             del 24 ottobre 1995, relativa alla tutela delle persone
personale” e il concetto di “trattamento dei dati”. - 6.                         fisiche con riguardo al trattamento dei dati personali,
La centralità dell’accountability ed il “sistema” delle                          nonché alla libera circolazione di tali dati, Direttiva
responsabilità. -7. La questione della cultura socio-am-                         abrogata con l’entrata in efficacia del Regolamento e
bientale. Conoscenza, ignoranza funzionale e comuni-                             quindi dal 25 maggio 2018.
cazione digitale. – 8. Conclusioni.                                                 Lo scenario in cui si inseriscono il Regolamento e la
                                                                                 Direttiva del 2016 sopra richiamate deve, tuttavia, te-
1. Scenari                                                                       ner conto di numerosi interventi normativi e Racco-
   Il 25 maggio 2018 è entrato in applicazione il Rego-                          mandazioni dell’Unione Europea tra i quali appaiono
lamento (UE) N. 679, del 27 aprile 20161, Regola-                                di rilievo:
mento emesso contemporaneamente alla Direttiva                                         1)    la     Raccomandazione           della    Commissione
(UE) N. 680/2016.                                                                            2009/387/CE del 17 maggio 2009 sull’applicazione
   Ambedue questi provvedimenti normativi del Parla-                                         dei principi di protezione della vita privata e dei
mento europeo e del Consiglio fanno parte di un si-                                          dati personali nelle applicazioni basate sull’identi-
stema di regole indirizzate a rendere più solido e coe-                                      ficazione a radiofrequenza (RFID, Radio-Fre-
rente, nell’Unione europea, il quadro di disciplina della                                    quency IDentification)7
protezione dei dati2, quadro “affiancato da efficaci mi-                               2)    la Comunicazione della Commissione, COM
sure di attuazione, data l'importanza di creare il clima                                     (2015) 192 final, del 6 maggio2015, per una “Stra-
di fiducia che consentirà lo sviluppo dell'economia                                          tegia per il mercato unico digitale in Europa”.
digitale in tutto il mercato interno”.                                                       Nella Comunicazione si sottolinea che “le tecnolo-
   Si percepisce immediatamente la funzione strumen-                                         gie dell'informazione e della comunicazione (TIC)
tale del citato intervento regolatorio: non la tutela dei                                    non costituiscono più un settore a sé stante, bensì
dati personali in sé, ma quella finalizzata allo sviluppo                                    il fondamento medesimo di tutti i sistemi econo-
economico dell’Unione grazie ad un clima di maggiore                                         mici innovativi moderni. Via via che ne aumenta
fiducia.                                                                                     l'integrazione in tutti i settori della nostra economia
                                                                                             e società, internet e le tecnologie digitali ci trasfor-
   La protezione dei dati personali è ricondotta al si-                                      mano la vita, ci trasformano il modo di lavorare,
stema dei principi e delle norme poste a tutela delle                                        nella sfera tanto personale quanto professionale e
persone fisiche. Questo al fine del rispetto dei loro di-                                    collettiva”8
ritti e libertà fondamentali.

1 Noto con l’acronimo GDPR (General Data Protection Regulation).                 topic/data-protection_en), istituito in forza dell’art. 29 della Direttiva
2 In questo senso il 7° Considerando del Regolamento.                            95/46/CE, ed in particolare il Parere n. 9/2011 sul tema. Per l’attività del
                                                                                 Gruppo di lavoro il rinvio è a http://ec.europa. eu/ justice/article-29/documen-
3 In questo senso il 2° Considerando del Regolamento.                            tation/opinion-recommendation/index_en. htm .
4 “Carta di Nizza”, 2000/C 364/01 del 18 dicembre 2000.                          Il Gruppo di lavoro, con l’entrata in efficacia del GDPR, è stato sostituito dal
                                                                                 “Comitato europeo per la protezione dei dati” che eredita (ed amplia) i compiti
5 “Trattato di Lisbona”, del 13 dicembre 2007, efficace dal 1° dicembre 2009,
                                                                                 del “Gruppo di Lavoro Articolo 29” (https://edpb.europa.eu/edpb_it). Signifi-
in versione consolidata in Gazzetta ufficiale n. C 326 del 26/10/2012.           cativi sono i parr. 3.3.2. Contrasto ai contenuti illeciti su internet e 3.4. Au-
6 Molto chiaramente il 1° Considerando del Regolamento.                          mentare fiducia e sicurezza nei servizi digitali e nella gestione dei dati perso-
7 Si veda anche l’ampio lavoro del “Gruppo di Lavoro Articolo 29” (organo        nali.
                                                                                 8 Significativi sono i parr. 3.3.2. Contrasto ai contenuti illeciti su internet e
consultivo indipendente dell’UE per la protezione dei dati personali e della
vita privata, i cui compiti sono fissati all’art.30 della direttiva 95/46/CE e   3.4. Aumentare fiducia e sicurezza nei servizi digitali e nella gestione dei dati
all’art. 15 della direttiva 2002/58/CE, in https://ec.europa.eu/info/law/law-    personali.
3
                                 Franco Pontani - World Law and Economics Global Knowledge 1- 2 (2018) 1-12

      3)    la Direttiva (UE) 2016/1148 del 6 luglio 2016 che                        scopo, ma anche dalla politica degli investimenti, pub-
            reca “misure per un livello comune elevato di sicu-                      blici e privati, dei e nei singoli Paesi, dalle priorità che
            rezza delle reti e dei sistemi informativi nell'U-                       governano tali politiche, dai livelli di democrazia so-
            nione” (nota anche come Direttiva NIS, Network                           ciale dei singoli Stati, dai sistemi culturali esistenti.
            and Information Security9) recepita in Italia con il                        In altre parole, nell’Unione Europea, con il GDPR,
            D. Lgs. 18 maggio 2018, n. 65                                            ci troviamo di fronte all’avvento di un sistema di tutela
                                                                                     “de minimis” che, allo stato, deve essere valutato nella
      4)    la Proposta di Direttiva (COM 2016/590 final del                         sua concreta applicazione in modo armonizzato.
            12. 10. 2016) che istituisce il “Codice Europeo
            delle Comunicazioni Elettroniche”10.                                        Se, da un lato, si è in presenza di interessi individuali
                                                                                     e collettivi da tutelare attraverso l’intervento pubblico,
   Nel contesto rappresentato, si deve, anche e soprat-                              dall’altro molto è delegato al sistema privato ed è a
tutto, tener presente il fatto che, con le nuove tecnolo-                            questo che, sostanzialmente si rivolge il Regolamento
gie di informatizzazione e comunicazione, scom-                                      N. 679/2016.
paiono sostanzialmente i confini geopolitici e, per-
tanto, di applicazione delle norme di tutela compatibili                                Non si tratta, poi, solo di una questione di “condivi-
con una concezione di privacy di dato e di informa-                                  sione” del concetto e del principio in uno scenario geo-
zione personale11.                                                                   politico internazionale od in presenza di culture di-
                                                                                     verse, ma del concetto di privacy in sé e che nel GDPR
   Si deve precisare che non esiste una concezione di                                appare sostanzialmente indefinito; questo considerato
privacy universalmente condivisa e suscettibile di una                               il fatto che anche l’Unione europea vede una coesi-
concreta ed efficace tutela “globale” attraverso il ri-                              stenza di culture13 e tradizioni (laiche e religiose) di-
corso a norme giuridiche che si possano, in un sistema                               verse, situazione che si aggrava anche a ragione dei fe-
mondializzato, ritenere altrettanto universalmente con-                              nomeni migratori che negli ultimi decenni si sono sem-
divise ed applicabili12.                                                             pre più intensificati per le più disparate ragioni.
   Consegue il naturale limite di applicabilità delle pre-                              La difficoltà definitoria è rilevante perché di privacy
dette norme alla sola Unione europea lasciando ampio                                 si tratta in contesti diversi e a tutele differenziate a se-
spazio alle convenzioni con singoli Paesi, terzi rispetto                            conda dell’interesse specifico (di valore anche collet-
all’Unione, o all’iniziativa di normazione legale auto-                              tivo, sociale) oggetto di protezione.
noma dei singoli Stati.
                                                                                        In dottrina si è rimarcato che14:
   I principi etici, laici e religiosi, come, d’altra parte,
le norme giuridiche, in un sistema sociale inteso come                                  “It is difficult to define the right to privacy, since
globale, non sono universalmente condivisi. Siamo, di                                   privacy is not a pure legal term - it has psychologi-
conseguenza, in presenza di concezioni di persona e di                                  cal, social and political aspects. The conceptual dif-
tutela dei dati che la riguardano assai differenziate                                   ficulties in defining the right to privacy are due to the
nello spazio e variabili nel tempo.                                                     fact that various interests protected by the right are
                                                                                        also protected by other laws and due to the fact that
   Gli strumenti di cui si dispone per contrastare, real-                               privacy is affected by political, social and economic
mente, nell’ottica della prevenzione e della sanziona-                                  changes and by technological developments”.
bilità dei comportamenti dei soggetti che violano le re-
gole poste a tutela dei dati riferiti o riferibili alla per-                            Si è, altresì sottolineato15 che “privacy is a concept
sona fisica, sono, in ogni caso, condizionati non solo                               in disarray. Nobody can articulate what it means”.
dall’efficacia degli strumenti tecnici utilizzati allo

9 Di rilievo sono le attività di studio e ricerca sia dell’Autorità Garante per la   Harvard Law Review Association. In Italia v. M. FERRARA SANTAMARIA, “Il
protezione dei dati personali (https://www.garanteprivacy.it/) , sia dell’ENISA      diritto alla illesa intimità privata”, in Rivista di diritto privato, Cedam, 1937,
(Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione,        I, p. 168 e segg. e bibl. ivi citata.
istituita nel 2004. Il rinvio è a https://www.enisa.europa.eu/).                     Di particolare interesse è anche il lavoro di YAEL ONN et. al., Privacy in the
L’ENISA, il 29 giugno 2018, ha pubblicato un utile manuale sull’applicazione         Digital Environment (Haifa Center of Law & Technology, Niva Elkin-Koren,
del GDPR alle PMI (SME), datato dicembre 2017 (Handbook on Security of               Michael Birnhack, eds., 2005, Pub. N. 7), in collaboration with The Caesarea
Personal Data Processing) accessibile in https://www.enisa.europa.eu/publi-          Edmund Benjamin digital environment Rothschild Foundation Institute for In-
cations/handbook-on-security-of-personal-data-processing .                           terdisciplinary Applications of Computer Science, 2005/2006 - Haifa Center
10 Nel momento in cui scriviamo risulta che l’ultima discussione, in Consi-          of Law & Technology.
                                                                                     Di utilità sono anche i contributi di A. LUKÁS, “What is privacy? The history
glio, sulla Proposta è del 29 giugno 2018 (https://eur-lex.europa.eu/procedure/      and definition of privacy”, University of Szeged, Faculty of Law and Political
IT/ 2016_288).                                                                       Sciences, Department of Labour Law and Social Security and Sorbonne Law
11 L'informazione è un insieme di dati, correlati tra loro, con cui un'idea (o un    School Université Paris 1, PhD student, lukacs.adrienn@juris.u-szeged.hu, e
fatto) prende forma ed è oggetto di comunicazione (G. VIGINI, Glossario di           di A. MOORE, Defining privacy, Journal of Social Philosophy, Vol. 39, No. 3,
biblioteconomia e scienza dell'informazione, Editrice Bibliografica, Milano,         pp. 411-428, Fall 2008, in https://ssrn.com/abstract=1980849.
1985, p. 62). Consegue che non si può confondere l’un termine con l’altro. I         13 Per “cultura” si intende “l’insieme delle acquisizioni intellettuali di una
dati singoli possono solo essere raccolti o trasmessi, ma non costituiscono,         persona ottenute mediante lo studio e l'esperienza”, ma anche “l’insieme di
singolarmente considerati, un’informazione.                                          valori, modelli di comportamento e simili, che caratterizzano il modo di vivere
Il dato è un segno (nelle sue due componenti di significato e significante) e        di un gruppo sociale […]” e “[…] acquisita dall’ambiente” (VOCE “Cultura”
come tale assume significato solo in un determinato contesto di relazioni tra        in Vocabolario Treccani, http://www.treccani.it/vocabolario/cultura_%28Si-
entità biologiche ed assume diverse forme (scritto, immagine, movimento cor-         nonimi-e-Contrari%29/).
poreo, ecc.). Sul tema, ex multis, il rinvio è a L. CANTONI, N. DI BLAS, Teoria      14 YAEL et alt. cit. Executive summary, pag. vii.
e pratiche della comunicazione, Maggioli/Apogeo Education, in http://
www.apogeoeducation.com /, Ott. 2002, Cap. I, pag. 1 e segg.                         15 D. J. SOLOVE, “A taxonomy of privacy”, in University of Pennsylvania Law
12 Il dibattito dottrinario in tema di privacy risale almeno al 1890 ed al lavoro    Review, Vol. 154, January 2006, no. 3, pagg.477-478.
di S. D. WARREN and L. D. BRANDEIS, “The Right to Privacy”, pubblicato
nell’Harvard Law Review, Vol. 4, No. 5 (Dec. 15, 1890), pp. 193-220, da The
4
                               Franco Pontani - World Law and Economics Global Knowledge 1- 2 (2018) 1-12

    “As one commentator has observed, privacy suffers from «an em-                2. La centralità della persona fisica
    barrassment of meanings». Privacy is far too vague a concept to
                                                                                  La persona fisica è il “soggetto interessato” alla tutela
    guide adjudication and lawmaking, as abstract incantations of
    the importance of «privacy» do not fare well when pitted against
                                                                                  dei suoi dati ed informazioni.
    more concretely stated countervailing interests”.                                La questione preliminare che si pone è cosa si in-
                                                                                  tenda per “persona” e per “persona fisica”.
  In definitiva e in sintesi, si è pervenuti, in qualche
modo, a qualificare questo complesso diritto in termini                              Nel processo evolutivo dei rapporti umani la conce-
di “confini” seppur in un’ottica di sensibilità personale                         zione di “persona” si è arricchita di connotazioni che
e quindi di qualificazione di ciò che è dai singoli defi-                         l’hanno variamente definita, nel tempo, dal punto di vi-
nito o definibile come tale:                                                      sta antropologico, bioetico, filosofico, psicologico, re-
                                                                                  ligioso e giuridico, ponendo distinzioni tra la qualifica-
    “the right to privacy is our right to keep a domain around us,
                                                                                  zione fisica e quella mentale, sino ad interrogarsi sugli
    which includes all those things that are part of us, such as our
    body, home, thoughts, feelings, secrets and identity. The right to
                                                                                  elementi costitutivi dell’essere umano17.
    privacy enables us to choose which parts in this domain can be                   In questa sede adottiamo la concezione di “persona”
    accessed by others, and control the extent, manner and timing of              come “individuo della specie umana, senza distinzione
    the use of those parts we choose to disclose”.                                di sesso, età, condizione sociale e simili, considerato
                                                                                  sia come elemento a sé stante, sia come facente parte
  L’“ambiente” della privacy, profondamente mutato                                di un gruppo o di una collettività”18.
dall’evoluzione tecno-digitale, deve tener conto del
fatto che:                                                                           La nozione di persona fisica quale desumibile dal si-
                                                                                  stema delle norme giuridiche nazionali ed internazio-
     “the technological developments have created a new reality, on
                                                                                  nali non appare oggi più atta a qualificarla compiuta-
    both the legal and the practical level. While technological pro-
    gress has changed the rules of the game completely, the legal sys-
                                                                                  mente ai fini dei suoi diritti oggetto di tutela.
    tem lags be-hind. While lawyers are still thinking over the appro-               Siamo in presenza di un difficile e non sempre con-
    priate form of regulation and its appropriate boundaries, the vio-            diviso e condivisibile rapporto tra etiche, culture e di-
    lators of privacy are accumulating knowledge, power and infor-                ritti, per cui appare più agevole pensare alla persona fi-
    mation and impose norms of conduct which will be almost impos-                sica come a un soggetto di diritto, dal concepito al vi-
    sible to uproot. A reality where there is no law and or-der raise             vente e, per certi aspetti, anche, sia pure in modo indi-
    the question: is it still possible to protect privacy? All of these           retto, in relazione al defunto.
    issues lead to legal questions about the appropriate scope of the                In questa sede, ancora, non ci intratteniamo sulla
    right to privacy and the choice of the best form of regulation”16.            vera natura della persona in presenza di ibridazioni
  Non siamo convinti, al di là dell’impatto conse-                                dell’individuo vivente, con cellule recanti DNA diversi
guente al Regolamento 2016/679 ed ai provvedimenti                                o con parti sostitutive (e inserite chirurgica-mente) pro-
allo stesso correlati o correlabili, quale la Direttiva                           venienti da altro vivente umano (allotrapianto) e non
2016/680 e gli altri in precedenza richiamati, la situa-                          umano (xenotrapianto) o da soggetto biologico dece-
zione di tutela della privacy possa mutare in modo si-                            duto (anche non umano), organi o loro parti con DNA
gnificativo in tempi contenuti.                                                   compatibile, ma certamente non identico, stante l’indi-
  Siamo al cospetto di una rilevante questione cultu-                             viduata impossibilità; questo salvo il caso dell’isotra-
                                                                                  pianto (tra gemelli monocoriali), della sussistenza di
rale delle comunità sociali e come tale ha necessità                              individui geneticamente identici, ma altamente impro-
tempi molto lunghi per un mutamento sostanziale con-
seguente ad un’integrazione intersoggettiva che, per la                           babile la sussistenza di DNA identici, con una necessa-
                                                                                  ria ulteriore considerazione dei rapporti tra consapevo-
sua natura sistemica, è di tipo precario.                                         lezza (intesa come percezione e reazione cognitiva) e
  In questo scenario il legislatore non è in grado, anche                         memoria (intesa come capacità del cervello di conser-
tenuto conto del fatto che i livelli culturali nazionali                          vare informazioni) e memoria cellulare19 .
medi, di natura anche politica, sono assai carenti, di af-                           Nemmeno ci intratteniamo della questione dell’ibri-
frontare in modo coerente con l’evoluzione tecnolo-
gica, una questione estremamente complessa come                                   dazione del vivente umano con componenti elettroni-
                                                                                  che (protesi sostitutive o integrative del vivente) dotate
quella dell’efficace ed efficiente tutela di questo com-                          di intelligenza artificiale e delle possibili interazioni tra
posito diritto della persona.
                                                                                  i due tipi di intelligenza, nonché dei livelli ipotetici di
                                                                                  prevalenza dell’artificiale sul naturale biologico.
                                                                                     Infine, non ci occupiamo delle relazioni tra la privacy

16Ibidem, pag. viii. V. anche F. PONTANI, “Ethics and privacy rules in a global   le cellule dell’organismo sono quindi in continua ed istantanea comunicazione
digital world”, e bibl. ivi citata, in World law and economics. Global Know-      fra di loro e si scambiano messaggi sotto forma di frequenze elettromagnetiche
ledge (open access) N. 1-2/2017, in www.pontani.it, e “Privacy e protezione       che hanno precisi effetti biologici. Le nostre cellule (ogni singola cellula del
dei dati”, Occasional papers, 10 febbraio 2018, sempre in www.pontani.it.         nostro corpo) contengono una vera e propria memoria. Ciò che chiamiamo
17 Per una rappresentazione dei diversi modi di qualificazione della persona      «me-moria cellulare» è il campo energetico cellulare collettivo, generato dalle
                                                                                  memorie cellulari individuali”, 18 agosto 2013 (a cura di “Beatrice”
v. VOCE “Persona” in http://www.treccani.it/enciclopedia/persona/ e http:/        (https://www.fisicaquantistica.it/fisica-quantistica/memorie-cellulari,     dalla
www.treccani.it/enciclopedia/persona_%28Dizionario-di-filosofia%29/ non-          fonte dichiarata, ora non più attiva, http://umaniindivenire.grou.ps/60 9767).
ché in http://www.treccani.it/enciclopedia/persona_%28Universo-del-Corpo          Aggiungiamo che ponendo in stretta connessione cellule con DNA diversi si
%29/.                                                                             possono modificare sia le percezioni, sia le comunicazioni, sia i sistemi di me-
18 VOCE “Persóna”, in http://www.treccani.it/vocabolario/persona/.                morizzazione del vivente.
19 “Ogni cellula del nostro organismo, tramite il suo DNA che funziona come
un trasmettitore-ricevitore, emette e può ricevere segnali frequenziali. Tutte
5
                                 Franco Pontani - World Law and Economics Global Knowledge 1- 2 (2018) 1-12

della persona fisica e la persona elettronica, questa                                Ricordiamo anche che il GDPR si riferisce, in un’ottica
come definita come quella dei “robot che prendono de-                                regolatoria più ampia, a tutte le organizzazioni.
cisioni autonome o che interagiscono in modo indipen-                                   L’azienda (di produzione o di erogazione o mista, in-
dente con terzi”20.                                                                  cluse quindi le aziende no profit, le associazioni senza
   Qui possiamo ricordare, con richiamo alla teoria dei                              scopo di lucro, le associazioni di volontariato, i comi-
sistemi (Ludwig Von Bertalanffy) e allo studio della                                 tati, i sindacati, i partiti politici, ecc. espressione tutti
loro dinamica (Jay Forrester), che una persona, in ge-                               delle organizzazioni) diviene condizione essenziale per
nerale e, quindi, anche una persona fisica, può essere                               il trasferimento e la circolazione dei dati e delle infor-
concepita come un sistema ultra-complesso, aperto, di-                               mazioni degli individui persone fisiche e per la loro tu-
namico soggetto a flussi in entrata ed uscita di dati (poi                           tela, anche loro malgrado, cioè per proteggerli nono-
elaborati) ed informazioni, consciamente od inconscia-                               stante un loro possibile contrasto invocato un sovraor-
mente percepiti e memorizzati, ma tali da generare                                   dinato diritto di libertà, non definibili in modo assoluto
comportamenti o consentire l’accettazione e la condi-                                e generale i limiti del secondo ed i confini del primo.
visione di comportamenti di altri.
   I dati sono rappresentazioni originarie, cioè non in-                             3. Il sistema organizzativo d’azienda e la tu-
terpretate, di un fenomeno, evento, fatto, realizzate at-                            tela della persona fisica nella sua rappresen-
traverso simboli, combinazioni di simboli o di qual-                                 tazione digitale. Il connubio tra sfera pri-
siasi altra forma espressiva, legate a un supporto21 di                              vata, comunicazione e azienda
qualsiasi natura.
                                                                                       Nell’ottica sistemica di qualificazione della per-
   Le informazioni sono quelle desunte dalla elabora-                                sona fisica, cioè di un sistema complesso di infor-
zione e interpretazione dei dati che fluiscono attraverso                            mazioni e di dati in costante dinamica spazio-tem-
rapporti di interrelazione.                                                          porale, si perviene, nel sistema digitale globale e in
   L’elaborazione e interpretazione dei dati, le loro re-                            quello dell’informazione senza confini, ad una
lazioni ed aggregazioni per trasformarli in informa-                                 sorta di rappresentazione digitale della persona, di
zioni, vengono adattate alle circostanze ambientali e,                               un sé stesso come espressione di un sistema di dati
soprattutto, culturali.                                                              dinamico 24.
   Si tratta, per quanto qui non trattato, di temi che me-                             Nell’azienda, da tempo, prevalgono sempre più le
ritano amplissimo spazio ed approfonditi studi interdi-                              comunicazioni digitali, flussi di radiofrequenze (a
sciplinari, per altro in corso da svariati decenni.                                  mezzo di impulsi elettrici o di onde elettromagne-
   Non è oggetto di approfondimento in questa sede la                                tiche) attraverso sistemi cablati e non; questo com-
questione della differenza tra persona, soggetto ed in-                              porta la possibilità di intercettazione, alterazione,
dividuo, differenza oggetto di interessante e complesso                              appropriazione indebita di dati e informazioni.
dibattito dottrinario; questo anche a ragione del fatto                                Il connubio interaziendale 25 (cioè tra azienda di
che le norme o dissertazioni e contributi scientifici in                             produzione - l’impresa- ed aziende di erogazione –
materia giuridica22 utilizzano variamente i termini ri-                              in ispecie della famiglia in generale e di quella mo-
chiamati (a volte utilizzati impropriamente come sino-                               nonucleare 26), in qualsiasi spazio-tempo, non rende
nimi), ove il riferimento all’individuo è proposto anche                             agevole la realizzazione di un’adeguata tutela dei
con riferimento alla sua “personalità”23.                                            dati delle persone fisiche; questo, in particolare, in
   Di interesse, in questa sede è, invece, il rapporto tra                           assenza di confini fisici e geopolitici al sistema
la persona fisica, l’azienda (come definita all’art. 2555                            delle comunicazioni wireless (WI-FI) e non solo, in
c.c.), in particolare quella di produzione o impresa (ex                             attesa di valutare l’impatto delle nuovi sistemi di
art. 2082 e segg. c.c.), e la sua organizzazione e, con-                             comunicazione LI-FI 27 (che utilizzano la luce LED
seguentemente, anche altre persone fisiche.                                          visibile con impulsi luminosi ad alta frequenza).

20 Risoluzione del Parlamento europeo del 16 febbraio 2017 recante racco-            organizzazione del carattere, del temperamento, dell'intelletto e del fisico di
mandazioni alla Commissione concernenti norme di diritto civile sulla robo-          una persona: organizzazione che determina il suo adattamento totale all'am-
tica (2015/2103(INL), P8_TA (2017) 0051, a seguito del Draft Report with             biente”.
Recommendations to the Commission on Civil Law Rules on Robotics, Com-               24 Sempre maggiore attenzione si dovrà dedicare alle ricerche in materia di
mittee on Legal Affairs, Rapporteur: Mady Delvaux.                                   “antropologia digitale” e all’emergente concezione di “uomo digitale”. V. E.
21 G. M. DI NUNZIO, “Dati e informazioni” in http://www.dei.unipd.it/~dinun-         GIAMMARCO, “L’uomo digitale. Oltre il dualismo tecnologico”, Frenico self
zio/fdi-2014-2015/04_dati_informazioni.pdf.                                          publishing hub, 2013 e M. MASSARI, “Sopravvento del digitale e tramonto
22Per il rapporto tra uomo, soggetto, persona ed individuo e correlato ricono-       dell’essere umano. Un approfondimento in merito al sopravvento del digitale,
                                                                                     passando per il tramonto dell’umano e la rinascita dell’uomo primitivo 4.0”,
scimento, il rinvio, tra gli altri, è a F. VIOLA, “Lo statuto giuridico della per-   31 marzo 2018, in http://www.responsabilecivile.it/sopravvento-del-digitale-
sona in prospettiva storica”, in “Studi in memoria di Italo Mancini", a cura di      tramonto-dellessere-umano/.
G.PANSINI, Esi, Napoli 1999, pagg. 636-637.                                          25 I singoli lavoratori vivono molte ore del loro tempo in, con e per l’azienda
Si veda anche, tra gli altri, O. MAZZA, “I diritti fondamentali dell’individuo
come limite della prova nella fase di ricerca e in sede di assunzione”, Rela-        vuoi con scopo di lucro (impresa) vuoi assente tale scopo.
zione al Convegno di studi, organizzato da Diritto penale contemporaneo, Ma-         26 La persona fisica e la famiglia sono espressione di aziende di erogazione.
gistratura Democratica e la Camera Penale di Milano il 9 e 10 novembre 2012          La famiglia mononucleare è costituita da un solo individuo (VOCE “Mononu-
presso l’Aula Magna del Palazzo di Giustizia di Milano, su “Garanzia dei di-         cleare”, Vocabolario Treccani in http://www.treccani.it/vocabolario/mononu-
ritti fondamentali e processo penale”, in “Diritto penale contemporaneo”             cleare/).
3/2013, https://www.penalecontemporaneo.it/foto/49683_2013.pdf#page= 10              27 H. HAAS,” Wireless data from every light bulb", TED (Technology Enter-
&view= Fit.                                                                          tainment Design) Global, Edimburgo, Conferenza dell’11-15 luglio 2011.
23H. J. EYSENCK, The structure of Human Personality, Methuen & Company,
London, 1953, ove: “la personalità è la più o meno stabile e durevole
6
                                Franco Pontani - World Law and Economics Global Knowledge 1- 2 (2018) 1-12

  Il citato connubio produce effetti diversi. Questo                                strumenti digitali, più o meno caratterizzati da li-
a ragione non solo dei conflitti di interessi perso-                                velli differenziati di intelligenza artificiale, inclusa
nali (competizione per la carriera, contrasti di na-                                quella o quelle distribuite nei sistemi di comunica-
tura retributiva, associazionismo sindacale, ecc.),                                 zione attraverso le reti digitali.
ma anche tra gruppi di persone legate tra loro da                                     In altre parole, si deve ripensare, nel sistema or-
fini ed interessi condivisi, ma in conflitto con                                    ganizzativo d’azienda, al concetto di cybersecurity
quelli dell’entità (l’impresa o l’azienda di eroga-                                 ed alla sua efficiente ed efficace realizzazione tec-
zione) nella quale le persone svolgono la loro atti-                                nica.
vità e determina.
  Nell’evidente disordine che ne consegue, diventa                                  4. Governance d’azienda, digital governance
difficile l’attuazione del “chaos management in the                                 e costante monitoraggio.
workplace”28, in particolare, nell’impresa, cellula
fondamentale del sistema economico produttivo                                          La governance viene generalmente intesa come l’in-
della ricchezza, intesa come complesso dei beni,                                    sieme di regole, di ogni livello, che disciplinano la ge-
mobili e immobili, materiali ed immateriali posse-                                  stione d’azienda in generale, e d’impresa in particolare,
duti da un qualsiasi soggetto, in un determinato                                    e include sia le relazioni tra i diversi attori coinvolti, gli
tempo, e destinata al soddisfacimento dei suoi bi-                                  stakeholder, cioè i portatori di interessi; gli attori prin-
sogni.                                                                              cipali sono, in genere, i soci o associati, il management,
                                                                                    l’organo di gestione, gli organi di controllo.
  Le comunicazioni di cui parliamo avvengono
spesso in ambiente fisico non protetto tecnica-                                        Da una corretta governance consegue la massimizza-
mente (si pensi al rapporto tra un lavoratore, dipen-                               zione, l’ottimizzazione della tutela dei soci, degli asso-
dente o autonomo, ed il suo datore di lavoro ove il                                 ciati o dei componenti di entità senza scopo di lucro e
primo, il lavoratore, si pone in contatto con il se-                                con finalità sociale o di particolari aree di interesse col-
condo, il datore di lavoro, da un ambiente non pro-                                 lettivo.
tetto (ad esempio una strada cittadina).                                               Questo a prescindere dalla rilevanza economico-fi-
  Nel contesto ambientale di una qualsiasi entità                                   nanziaria della loro partecipazione al capitale sociale o
l’utilizzo di strunmenti informatici e le comunica-                                 al fondo di dotazione o alla raccolta di mezzi finanziari
zioni wireless di natura privata si “mescolano” con                                 e non), sia gli obiettivi per cui l’impresa (o l’organiz-
quelle aziendali senza specifiche distinzioni e con                                 zazione senza finalità di lucro) è amministrata.
la possibilità di illecite intercettazioni. Molti ar-                                  Il termine “governance” origina da un’analogia tra il
chivi sono condivisi e, frequentemente, l’accesso                                   governo delle città, delle nazioni o degli Stati ed il go-
agli stessi non è disciplinato o le evidenze dello                                  verno delle imprese. È a seguito di questo approccio di
stesso accesso non sono indagate o non lo sono in                                   tipo analogico che derivano diversità di modelli e mo-
modo adeguato.                                                                      dalità applicative dei principi.
  Gli accessi illeciti, spesso, non sono soggetti a                                    Ciò sempre in stretta relazione con le situazioni cul-
denuncia 29 alle Autorità preposte all’investigazio-                                turali e ambientali che connotano le diverse società ci-
ne per l’individuazione (non sempre agevole o pos-                                  vili ed economiche, il diverso sistema normativo, le di-
sibile) dei soggetti che hanno operato in violazione                                verse dimensioni d’impresa o di organizzazione in ge-
di regole date al fine dell’applicazione delle san-                                 nere, anche in presenza di questioni cruciali, quali
zioni di legge.                                                                     quelle dei rapporti tra proprietà e management, pro-
  I sistemi organizzativi degli enti nei quali si con-                              prietà che designa anche gli organi di controllo, e co-
cretano relazioni, anche private, delle persone do-                                 munque tra portatori di interessi (stakeholder), anche
verrebbero garantire un adeguato sistema di tutela                                  non economici, e soggetti che amministrano, gover-
della privacy delle comunicazioni. Queste garanzie                                  nano, di fatto o di diritto, e controllano dette entità30 .
rendono indispensabile una riconsiderazione di                                         In un mondo pervaso dalla comunicazione digitale
tutti i sistemi tecnici esistenti in azienda, la defini-                            per “digital governance” possiamo intendere
zione o ridefinizione delle procedure di comunica-                                      “a framework for establishing accountability,
zione e del trattamento dati.                                                          roles, and decision-making authority for an organ-
  Specifica attenzione deve essere rivolta alla for-                                   ization’s digital presence - which means its web-
male proceduralizzazione dei rapporti che vengono                                      sites, mobile sites, social channels, and any other
realizzati tra persone fisiche che ricoprono in                                        Internet and Web-enabled products and services31”
azienda ruoli diversi e tra persone fisiche e

28 Il rinvio, ex multis, è a R. HODSON, V. J. ROSCIGNO, S. H. LOPEZ (Ohio State     30 Sul tema, ampiamente, ex multis, F. PONTANI, “Corporate governance” in
University), “Chaos and the Abuse of Power Workplace Bullying in Organi-            Digesto delle Discipline Privatistiche, Sezione Commerciale, Utet, 2009.
zational and Interactional Context”, Work and Occupations, Vol. 33 N. 4, No-        31 L. WELCHMAN, “Managing Chaos: Digital Governance by Design”, Rosen-
vember 2006, Sage Publications, http://wox.sagepub.com hosted at                    feld Media, Brooklyn, NY, USA, 2014, pag.11, richiamata anche da ISACA
http://online.sagepub.com, e a A. DENEAULT, “Governance. Il management              (Information Systems Audit and Control Association, Inc., A California Non-
totalitario”, Neri Pozza, I Colibrì, 2018, tra le altre, pagg. 51-55.               profit Mutual Benefit Corporation), S. WIEDMAN, “Building a Digital Govern-
29 Questo per varie ragioni, incluse quelle riconducibili alla tutela della repu-   ance Program”, ISACA Geek Week, August 8 – 10, 2016, in
tazione delle entità coinvolte dagli “attacchi” da parte di soggetti non identi-    www.isaca.org/chapters3/Atlanta/AboutOurChapter/Documents/GW2016/ 08
ficati e non sempre identificabili. Da detto, diffuso, comportamento, non solo      08%204pm-S.Wiedman-Digital%20 Governance.pdf.
da parte delle organizzazioni lucrative e non, ma anche delle singole persone,
consegue l’obbligo di denuncia alle Autorità competenti ex art. 33 del GDPR.
7
                                 Franco Pontani - World Law and Economics Global Knowledge 1- 2 (2018) 1-12

con la necessaria fissazione di “digital strategies32, po-                               Qui si deve ricordare che, al di là dei difetti delle tec-
licies33 and standards34 ” e la realizzazione concreta di                             niche utilizzate (per quanto sofisticate esse siano),
un loro costante monitoraggio in presenza dell’evolu-                                 l’anello debole di qualsiasi sistema digitalmente inter-
zione dei sistemi di organizzazione e dei rapidi cam-                                 connesso è la persona (sempre al centro del sistema)
biamenti delle tecnologie.                                                            che, per difetto culturale o per incuria, non tiene conto
   Tutto ciò comporta l’esistenza di un sistema organiz-                              dei (o non conosce i) fattori di rischio connessi anche
zativo complesso (anche in presenza delle c.d. lean or-                               alla spontanea divulgazione, con conseguente tratta-
ganization), possibilmente reticolare (si pensi alle reti                             mento, dei suoi dati ed è sempre la persona che da tali
di impresa digitalmente interconnesse), indirizzato alla                              difetti (diffusi) intende trarre (e trae) illecito vantaggio
mappatura e prevenzione del, e contrasto al, sistema                                  ricorrendo sempre all’utilizzo di sistemi tecnici (anche
dei rischi (endogeni ed esogeni) dell’intero “sistema                                 di avanguardia o sperimentali) esistenti o creati allo
azienda” (di produzione o di erogazione che sia), in-                                 scopo.
cluse anche le accounting e law firm e qualsiasi altro                                   La natura reale dell’organizzazione della singola en-
soggetto che si trovi nelle condizioni di trattare, mani-                             tità che tratta i dati o, comunque ne dispone, deve es-
polare, utilizzare, trasmettere, conservare dati perso-                               sere oggetto di un’individuazione attenta e di una cor-
nali (e non solo tali).                                                               retta diagnostica di rischio per difetto di adeguata go-
   Questo impone di pensare all’entità di cui trattasi                                vernance39.
come ad un soggetto che non può e non deve distin-
guere nel suo sistema organizzativo e di protezione dei                               5. La qualificazione di “dato personale” e il
dati solo una parte dei dati, quelli ritenuti personali, da-                          concetto di “trattamento dei dati”
gli altri dati, inclusi quelli che, solo all’apparenza, non                           La qualificazione di “dato personale” ai fini dell’appli-
si possono considerare personali ma che, aggregati ad                                 cazione del Regolamento UE 2016/679 si rinviene
altri, possono consentire l’individuazione e fissazione                               all’art. 4, n. 1, della norma ove il “dato personale”
di relazioni con le persone fisiche generando informa-                                viene definito come
zioni che debbono essere tutelate nel contesto dello
scenario normativo in precedenza sommariamente ri-                                      “qualsiasi informazione riguardante una persona
chiamato.                                                                               fisica identificata o identificabile (il soggetto «inte-
                                                                                        ressato»); si considera identificabile la persona fi-
   In un sistema dinamico, tecnologicamente ed orga-                                    sica che può essere identificata, direttamente o indi-
nizzativamente complesso di rischi, si impone l’ob-                                     rettamente, con particolare riferimento a un identifi-
bligo di attuare, applicare, valutare, adattare alle circo-                             cativo come il nome, un numero di identificazione,
stanze, quindi non solo prevedere35 , delineare, proget-                                dati relativi all’ubicazione, un identificativo online o
tare (art. 25 del GDPR e correlati Considerando nn.75                                   a uno o più elementi caratteristici della sua identità
e 76) , un adeguato sistema di cybersecurity36 (sotto-                                  fisica, fisiologica, genetica, psichica, economica,
lineando che l’insicurezza digitale37ed il correlato ri-                                culturale o sociale”.
schio di una singola entità conducono ad un’infezione
pandemica dei sistemi aperti e fortemente intercon-                                     Dobbiamo, tuttavia, considerare, ancorché indicati
nessi) e, come detto, di un suo costante monitorag-                                     distintamente nello stesso articolo del dispositivo del
gio38.                                                                                  Regolamento comunitario, che “dati personali”
                                                                                        sono anche i “dati genetici” definiti (art. 4, n. 13)
                                                                                        come

32 Ibidem, pag. 11 e in ISACA cit.                                                    (data non indicata), “Unified Cyber Security Monitoring and Management
33 Ibidem, pag. 13 e in ISACA cit.                                                    Framework”, in https://www.happiestminds.com/whitepapers/Unified-Cyber
                                                                                      -Security-Monitoring-and-Management-Framework.pdf , ove: “In order to en-
34 Ibidem, pag. 18 e in ISACA cit.                                                    sure a unified and holistic approach to cyber security, it’s important to convert
35 Ricorrendo anche alle applicazioni della “squashing theory” consistenti in         data (logs, packets, policies, activities, configurations etc.) available across
                                                                                      various layers and across different functions/tools into real actionable intelli-
modelli previsionali dei comportamenti con il ricorso alle reti neurali (M. BU-
                                                                                      gence. Some of the latest tools such as SIEM (Security Information and Event
SCEMA, “Squashing Theory. Modello a Reti Neurali per la Previsione dei Si-
                                                                                      Management) have evolved on this premise and can serve as a basic building
stemi Complessi”, 1994, Armando, Roma).
                                                                                      block for a unified framework.”. Questo si realizza procedendo per passi: “Step
36 Una concezione da ripensare, ridefinire, riprogettare senza ricorrere o rico-
                                                                                      1 - Risk Awareness; Step 2: - Environment Awareness; Step 3: - Identity and
piare modelli di altri. Sul tema v., ex multis, e non solo in relazione a ricerche    Data Awareness; Step 4: - Business Awareness; Step 5: - Content Visibility;
e contributi dottrinari recenti, J. A. LEWIS, “Rethinking Cybersecurity. Strat-       Step 6: Hidden Intelligence”.
egy, Mass effect and States”. A Report of the CSIS (Center for Strategic &            39 Si pensi, ad esempio, ai sistemi di organizzazione fondati sui principi
International Studies) Technology Policy Program, Rowaman & Littlefield,
                                                                                      dell’Humanistic Management 4.0 (sul tema il rinvio è a M. MINGHETTI, “Hu-
Lanham, Boulder, New York, London, Jan. 2018 e F. MCCLIMANS, P. FERSHT,
                                                                                      manistic Management 4.0”, in http://www.marcominghetti.com/ e alle teori-
J. SNOWDON, B. PHELPS, R. LASALLE, “The State of Cybersecurity and Digital
                                                                                      che ed alle applicazioni oggetto degli studi di Ginka Toegel (G. RUSCONI,
Trust 2016. Identifying Cybersecurity Gaps to Rethink State of the Art,” Ac-
                                                                                      “Azienda senza capi, una nuova via verso il «Nirvana organizzativo»”, Am-
centure and HfS Research, Ltd, June 2016.
                                                                                      brosetti Global Leadership Summit (http://www.ilsole24ore.com/art/manage-
37 Non esiste alcuna “sicurezza digitale”, ma si debbono sempre considerare
                                                                                      ment/2016-07-05/azienda-senza-capi-nuova-via-il-nirvana-organizzativo-085
i livelli di “insicurezza digitale” e la loro rilevanza in termini di rischio in      157.shtml?uuid=ADmh4Fo , e richiami all’evoluzione del tipo sociale di orga-
relazione alle singole circostanze. Ogni azienda è una singolarità, è espres-         nizzazione, oggetto di applicazioni pratiche a partire dalle esperienze negli
sione di un’unicità, è irripetibile nella sua genesi e nella sua gestione, non esi-   USA, dalla “managerless organization” alla “timeless leadership” ed al lavoro
ste un’azienda standard; le persone di ogni azienda sono diverse da quelle di         del “Self management Institute”). Sul tema il rinvio è agli studi di G. HAMEL
un’altra azienda. Ogni standard di controllo deve essere adattato alla singola        (tra cui, HBR Italia, “Primo, licenziamo tutti i manager”, 1 dicembre 2011).
azienda.
38Ex multis, per una rappresentazione sintetica, vedi V. Bharti (advocate and
Vice President & Global Head - Security Services - Cyber, Cloud, IOT- and
CISO at Happiest Minds Technologies Bengaluru Area, India), White paper
Puoi anche leggere